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基于 双 线性 对 的 k- 匿 名 隐私 保护 方案 研究 ， 
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摘 要 : 针对 移动 互联 网 环境 下 位 置 服务 的 隐私 保护 问题 ， 基 于 双 线 性 对 性 质 和 -匿名 的 思想 ， 提 出 了 一 个 高 服务 质 
量 的 隐私 增强 方案 。 通 过 终端 在 欧 几 里 得 距离 环形 区 域内 均匀 生成 2 个 虚假 位 置 ， 利 用 位 置 灶 、 位 置 分 散 度 和 地 图 背 
景 信息 从 中 筛选 出 1 个 虚假 位 置 , 进而 达到 更 优 的 k- 匿 名 效果 。 通 过 安全 性 分 析 ， 本 方案 不 仅 满足 隐私 性 、 匿 名 性 、 
不 可 伪造 性 等 安全 特性 , 而 且 能 够 抗 查询 服务 追踪 攻击 ; 仿真 实验 表明 , 本 方案 虚假 位 置 节点 选取 具有 更 优 的 均匀 度 ， 
同时 在 假 节点 生成 和 选取 效率 也 有 所 提高 。 
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Research on k-anonymous privacy protection scheme based on bilinear pairing 


Song Cheng, Zhang Ya-dong, Peng Wei-ping, Yan Xi-xi 
(School of Computer Science and Technology Henan Polytechnic University, Jiaozuo 454003, China) 


Abstract: Aiming at the privacy protection problem of location service in mobile Internet environment, a high quality of service 
privacy enhancement scheme based on bilinear pairing property and anonymity is proposed. The terminal generates 2k evenly 
distributed false locations in the ring area of Euclidean distance. According to location entropy, location dispersion and map 
background information, the terminal screens superior k-1 false locations from them to achieve better k-anonymity. Through the 
security analysis, the scheme not only satisfies the privacy, anonymity, unforgeability etc. , but also can resist query service 
tracking attack. The simulation experiments show that the selection of false position nodes in this scheme has a better uniformity, 


and the efficiency of the false node generation and selection is also improved. 
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一 在 2005 年 首次 提出 。 基 本 思想 是 ;为 用 户 生成 多 个 虚假 位 置 ， 
然后 将 所 选 虚假 位 置 和 用 户 的 真实 位 置 一 起 发 送 到 LBS 服务 

随 着 移动 通信 技术 、 定 位 技术 及 智能 设备 的 迅猛 发 展 ， 基 。。 器 ,以致 攻 击 者 和 服务 器 均 无 法 辨别 用 户 的 真实 位 置 .LU 等 人 
于 位 置 的 服务 ("3 (LBS) 得 到 广泛 的 应 用 ， 越 来 越 多 的 人 受益 。 在 方案 [11] 中 指出 , 如 果 虚 假 位 置 太 过 于 集中 , 会 降低 用 户 的 隐 
于 相关 服务 外 。LBS 应 用 服务 系统 已 经 涉及 到 各 种 领域 ， 例 如 。”” 私 保护 程度 ， 并 提出 了 新 的 方案 ， 将 每 个 虚假 位 置 均匀 位 于 不 
医疗 ， 交 通 ， 社 交 网 络 、 大 众 娱乐 等 。 然 而 ， 基 于 位 置 的 服务 。 同 的 圆 形 或 矩形 区 域内 ， 进 而 提高 用 户 隐私 保护 程度 。NIU 等 
在 为 用 户 提供 服务 的 同时 ， 用 户 敏感 数据 信息 可 能 被 搜集 ， 从 ”人 [2 指出 ， 上 述 方案 均 未 考虑 攻击 者 是 否 知晓 背景 信息 ， 此 信 
i 推测 出 用 户 个 人 隐私 。 如 : 用 户 位 置信 息 统计 ， 可 推断 出 用 。” 息 会 影响 攻击 者 对 用 户 的 实际 位 置 的 推断 概率 。 因 此 ， 他 们 提 
户 的 家 庭 和 单位 地 址 ， 结 合 地 图 相关 信息 ， 可 以 推断 出 用 户 的 。 ”出 一 个 新 的 解决 方案 ， 生 成 尽 可 能 多 地 虚假 位 置 ， 这 些 虚假 位 


健康 状况 ， 生 活 习惯 和 宗教 信仰 外 。 因此 ,位 置 服务 中 的 用 户 ” 置 与 用 户 真实 位 置 具 有 相同 查询 频率 ， 从 而 加 强 用 户 的 隐私 保 


十 


隐私 保护 一 直 是 国内 外 学 者 关注 的 焦点 [ 93。 护 。 但 该 方案 不 适用 于 连续 LBS 服务 请 求 查询 ， 因 为 攻击 者 根 
然而 , 在 用 户 隐 私 保护 技术 中 , 丰 匿 名 外 是 重要 的 技术 之 一 ， ” 据 相 邻 查询 时 间 和 空间 之 间 的 联系 ， 可 以 推断 出 用 户 的 真实 位 

可 以 有 效 防止 隐私 的 泄露 ， 因 此 天 一 匿名 技术 亦 成 为 目前 研究  。 

的 热点 。 基 于 大 匿名 的 用 户 的 隐私 保护 方案 是 由 KIDOWM 等 人 XU 等 人 在 文献 [13] 中 通过 在 最 小 边界 圆 中 选择 不 包含 前 
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名 区 内 所 有 其 他 用 户 的 方法 来 生成 匿名 集合 ， 


大 小 来 衡量 用 户 位 置 隐私 保护 的 强度 。 在 文献 [14] 中 , 提出 


抗 查 
及 务 请 求 中 ? | | 


基于 用 户 感觉 的 连续 LBS 服务 请 求 的 隐私 保护 模型 , 让 用 
户 根据 隐私 保护 的 程度 构建 公共 区 域 。 但 这 两 个 方案 均 不 能 抵 
和 跟踪 攻击 。WANG 等 人 在 文献 [15] 中 指出 在 连续 的 位 置 


户 可 能 在 不 同位 置 隐私 保护 级 别 不 同 ， 提 出 一 
感知 的 位 置 隐私 保护 方案 。LI 等 09 指 出 ， 如 果 使 月 
] 户 的 历史 足迹 构建 匿名 区 域 ， 会 造成 匿名 区 域 太 大 ， 进 


低 服 务 质量 。 提出 一 个 连续 LSB 请 求 环境 下 的 需求 感知 位 置 隐 


果 护 方案 ， 通 过 删除 最 远 的 足迹 缩小 匿名 区 域 范 围 


质量 。 但是， 在 用 户 预 定 / 预 测 位 置 之 外 进行 服务 请 求 ， 


仍 不 能 抵抗 查询 跟踪 攻击 .SCHLEGEL 等 人 07 基 了 


F 密 文 


思想 ， 提 出 了 基于 密 文 的 位 置 隐私 保护 方案 ， 在 确保 第 三 方 可 


言 的 情况 下 ， 可 以 抵抗 查询 跟踪 攻击 。 针 对 以 上 不 足 之 处 ， 本 
文 结合 双 线 性 对 理论 知识 和 大 匿名 的 思想 ， 提 出 了 一 个 安全 力 


9 用 户 位 置 隐私 保护 的 方案 ， 通 过 移动 终端 在 欧 几 里 得 昌 


区 域内 均匀 生成 2x 个 虚假 位 置 , 然后 利用 位 置 粹 、 位置 


和 地 图 背景 信息 从 2x 个 虚假 位 置 中 筛选 出 大 -1 个 更 优 华 


噶 假 位 置 ， 进 一 步 提高 虚假 位 置 均匀 度 ， 进 而 达到 更 优 的 大 
名 效果 。 


预备 知识 


位 置 隐私 保护 系统 结构 
本 文 在 太 匿 名 思想 的 基础 上 ， 增 加 了 一 个 混淆 月 


201804.02039v1 


发 送 用 户 假名 生成 请 求 并 验证 假名 结果 的 有 效 性 ; 
筛选 虚假 位 置 节点 ， 向 位 置信 息 服务 器 发 送 位 置 查询 请 求 ， 
接收 来 自 位 置信 息 服 务 器 的 查询 结果 。 

混淆 服务 器 : 在 匿名 位 置 隐私 保护 中 ， 通 常 需要 配置 
用 户 生成 假名 并 将 结果 发 送 给 移动 终 


chinaXiv 


混淆 服务 器 ， 为 移动 终端 


R 务 器 ， 如 


于 1 所 示 ， 系 统 主要 由 三 部 分 实体 组 成 : 移动 终端 、 
务 器 、 位 置信 息 服务 器 。 各 部 分 的 作用 如 下 : 


站 


移动 终端 ， 移动 终端 


个 的 作用 ， 一 是 向 混淆 服务 器 


宋 成 ， 等 : 基于 双 线 性 


1.2” 双 线性 对 


设 (GD 为 阶 为 素数 g 的 加 法 循环 群 ， 
4 乘法 循环 群 ，p 为 G 的 4 


满足 以 下 性 质 : 


(1) 


(3) 


给 定 一 个 包含 k 个 虚假 位 置 的 匿名 
位 置 ; 的 概率 是 yy， 那么 它 的 位 置业 


双 线 性 : 对 于 : 


O 


hinaXiv 合 作 期 十 


对 的 KK- 匿 名 隐私 保护 方案 研究 


(G,,x) 为 阶 为 素数 
E 成 元 。 双 线性 映射 e:G xG 一 G， 


Va,b eZ,,P,Q eG,e(aP,bO)=e(P,Q)” 
(2) 非 退 化 性 ，3P,O eG ， 满 足 e(P,0)#1 ; 
可 计算 性 : 对 于 任意 P,Q eG，， 存 在 有 效 的 算法 计 
算 e(P,O) ; 
1.3 位置 


在 移动 终端 


了 


i 


] 户 向 LBS 服务 器 进 


级 别 通过 单个 用 户 隐 私 度量 标准 来 衡 
候选 虚假 位 置 节点 ， 大 个 虚假 位 


区 域 ， 用 户 在 某 一 虚假 


(1) 


行 服务 请 求 过 程 中 , 隐私 


设 匿 名 区 域内 大 个 


WW(i=1,2…k)， 那 么 每 个 位 置 成 为 
2K 
姑 此 ， 利 ) 


的 查询 概率 分 别 为 


] 式 (1) 和 (2) 可 计算 出 节点 位 置 米 ， 即 攻击 


的 概率 为 : 


2) 


者 推导 出 真实 位 置 的 信息 量 。 候 选 位 置 节点 炳 值 越 高 ， 隐 私 保 
护 水 平 越 高 。 显 然 ， 当 所 有 的 了 相等 时 ， 位 置 节点 位 置 粹 值 最 


大 ， 隐 私 


保护 水 平 最 高 。 


1.4 位 置 分 散 度 


若 存 在 多 个 虚假 位 置 节 点 集合 


最 大 值 时 ， 将 需要 利用 位 置 分 散 度 对 它们 


虚假 位 置 节点 集合 的 位 置 分 散 度 越 大 ， 则 表明 
可 


面积 就 越 大 ， 这 样 可 以 避免 由 于 生成 的 假 节点 过 于 集中 ， 导 致 


烂 相 等 且 均 是 


引 次 进行 筛选 。 因 为 


其 所 形成 的 区 域 


攻击 者 能 够 推测 出 用 户 真实 位 置 所 在 的 区 域 而 造成 位 置 隐私 泄 


位 置信 息 服 务 器 : 是 位 置 隐私 保护 系统 的 核心 部 分 ， 负 


只 


里 来 自 移动 终端 的 匿名 化 


询 ; 并 将 查询 结果 返 区 


混淆 服 务 器 
返回 注册 结果 


发 起 服务 请 求 
- 国 
返回 查询 结果 


移动 终端 位 置信 息 服 务 器 


pa 


1 位 置 隐私 保护 系统 模型 


露 。 通 常 采 用 虚假 位 置 节点 对 之 


度 。 
如 图 


互 


的 距离 之 积 来 衡量 位 置 分 散 


2 所 示 ， 假 设 o 是 用 户 的 真 


'， 为 已 选 出 的 虚 


拟 位 置 , 通过 构造 椭圆 从 两 个 候选 位 置 m 和 nn 中 选择 出 第 三 个 


虚拟 位 置 。 


将 o 和 六 作为 椭圆 的 两 


椰 圆 上 。 


择 节点 m 


大 。 


距离 之 和 确 


天 为 mo+mp=no+np， 无 法 根 
定 选 择 哪个 节点 , 但 由 于 moxmp >noxnp， 最 终 选 
作为 虚拟 位 置 而 不 是 节点 ， 


对 


图 2 ”候选 节点 筛选 示意 


虚拟 节点 对 之 间 的 


因为 节点 m 的 分 散 度 更 


录用 稿 


2 ”基于 双 线 性 对 的 K- 匿 名 隐私 增强 方案 


本 方案 主要 包括 四 个 阶段 : 系统 初始 化 阶段 、 用 户 注册 阶 
段 、 假 位 置 生成 与 选取 阶段 和 位 置 服务 请 求 阶段 。 
2.1 系统 初始 化 

系统 初始 化 阶段 主要 生成 系统 参数 ， 有 具体 步骤 如 下 : 

Step1: G,，G, 是 两 个 阶 数 为 素数 4 的 循环 群 ， 其 中 G 为 
加 法 循环 群 ，G, 为 乘法 循环 群 ，P 是 G 的 生成 元 。 
e:GxG 一 G, 表示 一 个 双 线性 映射 。Z’ 表示 模 9 的 整数 乘法 
群 。 

Step2: 定义 2 个 安全 哈 希 函数 万 ， 妃 和 一 个 基于 椭圆 
线 密 码 体制 的 加 密 函 数 enc() 。 其 路 :{0,1} {0,1}， 
万, :{0, 直 一 G ，{0,1] 表 示 任 意 长 度 的 二 进 制 串 。 


EO 
Se 
可 
有 

ee 
a 
一 站 

| Ee 


宋 成 ， 等 : 基于 双 线 ' 


Step3: 若 ;<2 ，i=i+1， 并 返回 Stepl; 若 j=2K ， 则 执 
行 下 一 步 。 

Step4: 假设 假 位 置 节点 集合 C 内 假 位 
W(i=1,2.…2x)， 根 据 式 (2) 计算 出 每 个 假 


节点 位 置 概率 了 。 了 越 接近 真实 位 置 Loc 


User 


的 查询 概率 分 别 为 
节点 位 置 成 为 真实 
的 查询 概率 ,位 置 


炉 五 (x) 越 高 ， 隐 私 保 护 水 平 就 越 高 。 根 据 该 原则 ， 从 2x 个 假 
位 置 中 选取 最 优 的 上 -1 个 假 位 置 { Loc,Loc,…Loc, 1}。 


注 : Step4 中 车 在 临界 位 置 存在 并 列 无 法 排除 的 假 节点 ， 
若 出 现 候选 假 位 置 Loc，, 和 Loc, 成 为 真实 节点 位 置 概率 了 ， 
7 相等 的 情况 ， 移 动 终端 根据 位 置 分 散 度 原则 ， 判 断 不 等 式 


即 
和 


Loc. 1) x dis(Loc,, Loci 1) > 
Loc.) x dis(Lorc,, Loc.) 


dis(Loc, 


User? 


dis(Loc, 


User? 


Step3: 混淆 服务 器 选取 系统 主 密 钥 se Z”， 计 算 其 公共 密 
钥 为 : P=sP。 
Step4: 混淆 服务 器 保存 系统 主 密 钥 s ， 公 开 系 统 参数 : 


上 


{Gi,G,,e,k, P,P,H',H,,enc()} 。 


2.2 用 户 注册 
于 本 方案 是 基于 大 匿名 思想 而 设计 的 ， 因 此 ， 用 户 注册 
阶段 ， 通 过 混淆 服务 器 对 用 户 的 身份 进行 匿名 化 ， 具 体 步骤 如 
下 : 


Step1: 用 户 User 随机 选择 一 个 秘密 值 ; eZ;，, 并 将 i, 和 用 
户 真 实 身 份 jp 作为 注册 请 求 消息 发 送 给 混淆 服务 器 ， 请 求 注 
册 。 

Step2: 混淆 服务 器 收 到 注册 请 求 后 , 为 用 户 计 算 虚 假 身份 : 
PID, =enc(H,(ID 上 x,) ;然后 计算 Q =H,(PID,,n,P), X,=;sQ,， 
将 {PID,,X,} 返回 给 用 户 User 。 

Step3 : 用 户 User 收 到 消息 


{PID,,X,} 后 ， 计 算 


断 e(X ,Pp)= -e(0O ， PP,) 是 否 否 成 立 。 如 果 等 


ee 


@ = H,(PID, ,r 门 并 类 


式 成 立 ， 注 册 成 功 ， 和 否则， 返回 Step1 重新 注册 。 

2.3， 假 位 置 生成 与 选取 
本 阶段 通过 用 户 移动 终端 生成 虚假 位 置 , 并 从 次 个 虚假 位 

置 中 选取 最 优 的 k_1 个 位 置 ， 具 体 步骤 如 下 : 

Step1， 移 动用 户 终端 以 用 户 User 的 真实 位 置 Loc,。 为 中 

心 点 ， 采 用 和 拢 形 区 域内 均匀 分 布 随机 点 算法 生成 一 个 假 位 置 

Loc ， 根 据 地 图 的 背景 信息 判断 该 位 置 ， 若 为 山川 、 河 流 等 位 


是 否 成 立 ， 若 成 立 , 则 选择 Loc， 为 候选 位 置 , 反之 选择 Loc, 
为 候选 位 置 , 其 中 Zocu。 ,为 用 户 User 的 位 置 ， Loc, 为 已 选 的 假 
位 置 。 最 终 选 择 最 优 的 | 县 位 置 集合 Cos= (ot Gl 
Step5: 最 优 的 假 位 置 集合 C, 内 各 位 置 节点 分 别 进行 用 户 
注册 ,为 每 个 假 位 置 分 别 生 成 匿名 用 户 ID: PID, (0<i<k-1)。 
2.4 位 置 服务 请 求 

本 阶段 通过 移动 终端 User 随机 选取 一 位 置 节点 作为 代表 
节点 向 LBS 服务 器 发 送 服务 请 求 ， 有 具体 的 请 求 步骤 如 下 : 
Step1: 用 户 从 包括 真实 位 置 节点 在 内 的 大 个 位 置 节点 中 随 
机 选取 位 置 节点 c， (0<j<k)。 

Step2: 聚合 个 节点 的 假 身份 PID、 节 点 位 置 Loc， 以 及 
查询 内 容 0O ， 形 成 一 个 查询 外 
{Msg{ (PID,, Loc,,Q),(PID,, Loc;, @,)......., (PID,, Loc,,Q,)}} ;以 
cj 位 置 为 代表 向 LBS 服务 器 发 送 服务 请 求 。 

Step3: LBS 服务 器 接收 到 服务 请 求 后 ， 
Rs = {51, 7S,, 593,......., rs,} 返回 给 用 户 。 


-A 
口 1 


nt 


将 查询 结果 外 
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Step4: 用 户 收 到 Rs 后 ， 从 中 选取 出 用 户 需 求 的 真实 信息 
FSUsor ° 
3 ”安全 性 分 析 

方案 从 隐私 保护 、 匿 名 性 、 不 可 伪造 性 和 查询 服务 跟踪 四 


个 方面 进行 安全 性 分 析 。 
3.1 隐私 保护 

本 方案 通过 设置 最 大 半径 和 最 小 半径 ， 并 且 限 制 最 小 半径 
的 约束 条 件 。 同 时 再 加 上 虚拟 节点 的 产生 是 均匀 的 ， 在 请 求 位 


*， 则 放弃 该 位 置 从 新 生成 ， 否则， 计算 Zocw 和 Zoc 两 位 置 


服务 是 时 随机 选取 一 个 节点 作为 代表 节点 进行 服务 请 求 。 这 


User 
之 间 的 欧 几 里 得 距离 : dis(Loc,,,, Loc;,) 。 
Step2 : 移动 用 


户 终 端 判 断 不 等 式 
Ri <dis(Locuu,ZLoc)<R ,是否 成 并 。 如 果 满 足 ， 让 c = Zoc ， 
将 其 加 入 位 置 集合 Cfoveweweew6s) ， 儿 


C= c 1} Uf{c}; 如 果 不 满足 ,重新 返回 Stepl。 其 
中 R,, 和 RR, 分 别 表示 中 心 点 到 新 生成 假 节 点 的 最 短 距离 和 


最 长 距离 。 


样 即使 攻击 着 获取 了 请 求 服务 的 信息 也 无 法 得 知 真 实用 户 位 置 
的 信息 。 在 用 户 注册 阶段 , 所 有 用 户 都 通过 加 密 算法 encO 对 其 
节点 真实 身份 Jp 进行 加 密 形 成 虚假 身份 
PID, =enc(H1(1ID| 上 |r,)， 攻 击 者 无 法 从 PID, 推导 或 获取 节点 的 
真实 信息 ， 从 而 保护 了 用 户 信 息 隐私 。 在 服务 请 求 阶段 由 于 随 
机 选取 一 个 节点 作为 代表 节点 发 送 服务 请 求 。 具 有 随机 性 ， 降 


级 攻击 者 辨别 出 到 底 哪 个 是 真实 用 户 的 查询 信息 的 概率 。 进 而 
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录用 稿 宋 成 ， 等 : 基于 双 线 性 对 的 K- 匿 名 隐私 保护 方案 研究 
保护 了 真实 用 户 查 询 信息 的 安全 。 天 
3.2 匿名 性 人 

本 方案 在 用 户 注 册 阶 段 , 通过 加 密 算法 ezcO 对 所 有 节点 真 本 文 仿 真实 验 环境 为 : CPU: Intelis 处 理 器 ， 内存: 8G。 
实 身 份 万 进行 加 密 形 成 虚假 身份 PID, =enc(HI(ID||7)) ,攻击 ”操作 系统 Windows7 64 位 ,仿真 软件 : MATLAB 软件 。 假 设 
者 无 法 从 PID, 推导 或 获取 节点 的 真实 信息 ， 实 现 匿 名 的 效果 。 ”在 一 个 具有 理想 的 网 络 环境 进行 仿真 实验 。 本 实验 将 随机 选择 
同时 在 虚假 位 置 的 生成 和 选取 阶段 ， 基 于 天 匿名 的 思想 ， 采 个 节点 作为 用 户 的 真实 位 置 ， 然 后 从 符合 用 户 需 求 的 虚假 位 
用 匿名 区 域内 均匀 分 布 随机 点 算法 在 欧 几 里 得 距离 环形 区 间 内 ” 置 生成 效率 和 位 置 分 布 均匀 度 两 个 方面 进行 仿真 。 
选取 2k 个 虚假 节点 ， 然 后 根据 位 置 粹 与 位 置 分 散 度 的 原则 从 虚假 位 置 生成 算法 性 能 指标 主要 体现 在 效率 和 位 置 均匀 度 。 
2k 个 虚假 节点 内 选取 最 优 的 大 -1 个 虚假 节点 ， 实 现 混淆 的 效 。 相同 的 实验 环境 下 ， 通 过 对 比 传统 方案 、CirDummy 方案 和 
果 。 在 服务 请 求 阶段 ， 用 户 从 个 节点 中 随机 选择 一 个 节点 作 。 ”GirdDummy 方案 得 出 以 下 结论 。 如 图 3 所 示 ， 生 成 符合 用 户 条 
为 代表 元 素 向 LBS 服务 器 发 送 服务 请 求 , 攻击 者 即使 获得 请 求 。” 件 虚假 位 置 所 需要 的 时 间 与 匿名 度 成 线性 关系 ， 随 着 匿名 度 
数据 包 ， 也 无 法 确认 信息 是 否 来 自 真实 节点 ， 进 一 步 增强 了 用 ”天 的 增加 , 生成 符合 用 户 条 件 虚假 位 置 生成 所 需 时 间 也 在 逐步 
户 匿 名 效果 。 增加 。 这 是 由 于 随 着 匿名 度 的 增加 ， 生 成 的 虚假 位 置 数 量 也 
3.3 不 可 伪造 性 随 着 增多 ， 需 要 判断 的 符合 用 户 需求 虚假 位 置 个 数 增 加 ， 进 而 

在 基于 求解 椭圆 曲线 离散 对 数 难题 及 混淆 服务 器 的 前 提 下 ， ”生成 时 间 相应 增加 。 通 过 仿真 实验 发 现 ， 当 上 <5 时 ， 本 方案 所 
攻击 者 无 法 冒充 混淆 服务 器 伪造 用 户 注册 信息 。 在 用 户 注册 阶 ”生成 的 符合 条 件 的 虚假 位 置 的 效率 与 传统 方案 算法 效率 接近 ，; 
段 ， 混 淆 服务 器 为 用 户 的 真实 身份 进行 加 密生 成 可 验证 性 的 假 。 当 k>5 时, 本 文 方案 所 生成 的 符合 条 件 的 虚假 位 置 的 效率 与 传 
身份 PID, ， 混 淆 服务 器 返回 给 注册 用 户 信息 {P1D,,X } 后， 用 段位 


jE 
户 前 安 


是 否 成 


对 数 难 


工 。 若 攻击 者 冒充 混淆 服务 器 伪造 用 
有 获得 混淆 服务 器 私 钥 s 
击 者 设法 获取 混淆 服务 器 私 钥 * ， 


题 。 


3.4 抵抗 查询 追踪 攻击 


息 (P,P), 通过 已 =sP 推导 私 钥 s， 即 


计算 @ -jy(P1D,,xP) 并 判断 等 式 C(x ,p)=e(O,P) 


在 没 


户 汶 


E 册 信息 ， 


的 情况 下 ， 该 等 式 无 法 成 立 。 如 果 攻 


统 方案 相 比 ， 优 


势 越 来 越 明 显 ， 由 于 


于 传统 方案 算法 生成 虚 
在 顺 时 针 旋 转 的 夹 角 6 内 ， 既 满足 g =2x /1(k 1) ， 随 着 匿名 


度 的 增加 ， 夹 
来 越 小 。 因 此 ， 


名 度 的 增加 效率 越 来 越 明 显 低 于 
CirDummy 方案 和 GirdDummy 方案 ， 


需要 利用 混淆 服务 器 公 钥 信 
面临 求解 椭圆 曲线 离散 ”” 文 方案 的 效率 也 
方案 。 


查询 追踪 攻击 也 称 为 连续 查询 攻击 ， 其 原理 是 攻击 者 根据 
不 同时 刻 某 一 用 户 发 出 的 连续 查询 ， 获 取 不 同时 刻 内 匿名 区 域 
包含 的 用 户 集 ， 通 过 计算 不 同 匿名 区 域 的 用 户 集 的 交集 推断 出 
发 出 查询 的 用 户 。 在 本 方案 中 由 于 所 选 虚假 节点 均 是 均匀 产生 
的 ， 而 且 根据 位 置 焙 、 位 置 分 散 度 以 及 地 图 背景 信息 等 原则 ， 
所 选 虚假 节点 与 真实 节点 相似 度 高 ， 形 成 的 匿名 区 域 面 积 大 ， 
有 效 抵制 查询 追踪 攻击 。 而 且 每 次 发 出 LBS 服务 请 求 都 会 从 
个 位 置 节 点 中 随机 选取 某 一 个 元 素 作为 代表 元 素 发 出 请 求 信息 ， 
攻击 者 更 无 法 通过 用 户 连续 查询 请 求 节点 的 交集 获取 真实 节点 。 
通过 以 上 分 析 ， 本 方案 与 相关 文献 方案 的 安全 分 析 比 较 结 
果 如 表 1 所 示 。 
表 ! 安全 性 比较 
方案 文献 [6] ”文献 [7] ”文献 [8] ”本 文 方案 
立 置 隐私 ‘ a V V 
查询 隐私 V V V 
户 信息 隐私 县 
匿名 性 V V V 
不 可 伪造 性 V 
查询 追踪 攻击 V 
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符合 条 件 的 假 位 置 生成 时 间 /ms 


9 9 越 来 越 小 ， 虚 假 位 置 生成 在 g 内 的 概率 越 
传统 方案 生成 符合 条 件 的 虚假 位 置 算 法 随 着 匿 
F 本 文 方案 。 同 时 对 比 


随 着 匿名 度 的 增加 ,本 


是 越 来 越 高 于 CirDummy 方案 和 GirdDummy 


sr 


NS 


图 3 


位 置 的 均匀 


度 


均匀 程度 越 高 ， 
几率 越 小 。 位 
真实 位 置 和 虚假 
然 ， 在 太一 定 
氏 。 本 


的 情况 下 ， 位 
仿真 实验 是 在 最 小 区 域 半 径 为 0.1km， 


虚 


必 表 所 选 的 位 置 与 真实 位 置 越 相似 程度 ， 其 
段 节点 分 布 越 均匀 ， 攻 击 者 找到 真实 位 置 的 
分 布 均匀 度 用 V = 了/k 表示 ， 


匿名 度 k 与 所 选 位 置 生成 时 间 的 关系 


其 中 f 表示 包含 


位 置 的 最 小 矩形 区 域 攻 


积 ， 大 表示 匿名 度 。 显 


JI 


均匀 度 随 着 


匿名 度 的 增加 而 降 


最 大 区 域 半径 为 


0.15km 内 


立 置 的 选择 。 本 方案 通 


进行 


CirDummy 方案 在 同 


等 环境 下 仿 


本 方案 采用 位 


焙 、 位 置 分 散 度 和 地 医 


多 


位 置 ， 医 


此 ， 本 方案 位 


过 
对 比 结果 如 
背景 信息 乌 选 每 个 虚假 
分 布 均匀 度 始 终 优 于 


与 传统 方案 和 
4 所 示 ， 由 于 


区 


传统 生成 算法 ， 


录用 稿 


避免 了 因 位 置 节点 分 布 集中 而 导致 匿名 区 域 面 积 缩小 的 情况 ， 
进而 增加 了 攻击 者 确定 用 户 的 真实 位 置 的 难度 。 在 位 置 均匀 度 
仿真 实验 中 之 所 以 没有 与 GirdDummy 方案 进行 对 比分 析 是 医 
为 本 文 实 验 是 在 环形 区 域 选取 虚假 节点 ， 而 GirdDummy 方案 


t 


全 
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图 4 匿名 度 k 与 位 置 分 布 分 均匀 度 的 关系 


5 ”结束 语 


本 文 针对 移动 互联 网 中 用 户 使 用 LBS 服务 的 位 置 隐私 保 
护 问 题 ， 结 合 双 线 性 对 理论 知识 和 -匿名 的 思想 ， 提 出 了 一 个 
安全 加 强 的 用 户 位 置 隐私 保护 的 方案 。 方 案 通过 移动 终端 在 欧 
几 里 得 距离 环形 区 域内 均匀 生成 2x 个 虚假 位 置 , 然后 利用 位 置 
、 位 置 分 散 度 和 地 图 背景 信息 从 2K 个 虚假 位 置 中 筛选 出 
K -1 个 更 优 的 虚假 位 置 。 通 过 安全 性 分 析 , 本 方案 解决 隐私 性 、 
匿名 性 、 不 可 伪造 性 以 及 查询 攻击 等 相关 安全 问题 ， 安 全 性 得 
到 有 效 增 强 ， 通 过 仿真 实验 分 析 ， 当 大 <5 时 ， 本 方案 所 生成 的 
符合 条 件 的 虚假 位 置 的 效率 与 传统 方案 算法 效率 接近 ; 当下 >5 
时 ， 有 具有 更 高 的 效率 ， 同 时 方案 具有 更 高 的 虚假 位 置 均匀 度 ， 


Kenn 


Ht 


从 而 进一步 的 提高 了 用 户 隐 私 的 保护 程度 。 因 此 本 方案 在 资源 
受 限 的 移动 互联 网 或 物 联网 环境 中 LBS 位 置 隐私 保护 领域 有 
着 重要 的 理论 研究 意义 和 应 用 价值 。 
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